Tema 5

LOGO

Auditoria de la Dirección Tema 5

Auditoria Informática

Docente: Carmelo España V. E-mail: [email protected]

INTRODUCCIÓN

Cómo auditar los procesos de la alta dirección

No podemos negar que cuando hablamos de la Auditoria a la alta

dirección se dispara cierta preocupación de los auditores para poder

planificar la auditoria de manera que salga muy bien, esa planificación por

momentos se hace muy extensa y abunda en notas a auditar y por

momentos se resume a algunos pocos puntos.

Mucho depende si la auditoria es externa o es interna, generalmente en

el primer caso siempre queremos dejar demostrado a la empresa que nos

contrata, que nos ceñimos o ajustamos al mayor profesionalismo y

conocemos técnicamente de que estamos hablando, mientras que en el

caso de una auditoria interna tratamos de demostrar a nuestra Dirección

que tenemos una buena planificación para que la auditoria sea efectiva,

no quite tiempo productivo y aporte el mayor valor agregado.

INTRODUCCIÓN

Cómo auditar los procesos de la alta dirección

Aclaremos algo muy importante, si realizamos una buena planificación

de la auditoria a la alta dirección y aplicamos criterios adecuados y

sentido común, el buen aporte del auditor en esta área tendrá casi

siempre un muy buen efecto a lo largo de toda la cadena, ya que es el

lugar indicado para poner en juego todo nuestros conocimientos y agregar

valor a la organización.

Reconociendo que la auditoria de los procesos de la alta dirección es un

asunto sensible, este tema brinda una guía para esta categoría de

auditoría.

Como empezar…

Es recomendable que los auditores involucren a la alta dirección en la

auditoría, es decir, invitarlos a las reuniones de apertura y cierre,

programar tiempo suficiente en el plan de auditoria para entrevistar a los

altos directivos, discutir los hallazgos de la auditoría directamente con

ellos, buscar evidencia de su compromiso, etc.

Es importante que el centro de atención deje de estar sólo en el

responsable de calidad, o del director de calidad y pase a la alta

dirección de la organización. Se recomienda que el auditor considere las

actividades de la alta dirección como procesos y los audite de acuerdo

a ello.

Planificación de la auditoría

El auditor debe identificar los procesos de la alta dirección y:

Comprender la organización y su estructura de gestión analizando

información tal como: organigramas, reportes anuales, planes de negocio,

perfil de la organización, comunicados de prensa, sitios web.

Prever en el plan de la auditoría la recolección de información pertinente

respecto al compromiso de la alta dirección, entrevistando directamente a

la alta dirección

Comprender la cultura de la organización y de su alta dirección, con el

fin de determinar el impacto sobre el plan de la auditoría, haciendo los

ajustes que sean necesarios

Encarar en forma profesional el enfoque de los auditores respecto a su

vestimenta, identificando las prácticas de la organización al respecto

Planificar el momento de la auditoría a la alta dirección, para asegurar

puntualidad y su conveniencia

Un auditor con poca experiencia en auditoría no debería ser designado

para entrevistar a la alta dirección.

Conducción de la auditoría

Durante las entrevistas a la alta dirección, el auditor puede, haciendo

uso de terminología de los negocios apropiada, hacer preguntas

pertinentes que:

permitan obtener evidencias de la toma de conciencia y del

compromiso de la alta dirección con respecto a la calidad, y su

pertinencia a los objetivos generales de la organización y a su sistema de

gestión de la calidad

permitan obtener evidencias de cumplimiento de los requisitos de la

norma ISO 9001 aplicables a la responsabilidad de la dirección.

Recolección y verificación de evidencias

El auditor/equipo auditor debería buscar constantemente oportunidades

de corroborar las respuestas recibidas de la alta dirección durante las

entrevistas correspondientes. Esto incluye:

la disponibilidad y pertinencia de la política y los objetivos

el establecimiento de una relación entre la política y los objetivos

la obtención de evidencias de que la política y los objetivos son

eficaces y comprendidos en toda la organización

la determinación si las políticas y los objetivos son apropiados para la

mejora continua del sistema de gestión de la calidad y para lograr la

satisfacción de los clientes

la determinación si la lata dirección se involucra en las revisiones por

al dirección.

Recolección y verificación de evidencias

Entrevistas adicionales o la recolección de nuevas evidencias

pueden ser necesarias para poder corroborar la información

relevada. El equipo auditor debería asegurarse de que se recolecta toda

evidencia adicional referida al compromiso de la alta dirección. Asimismo,

deberían analizar todas las evidencias recolectadas para asegurar

que la información es exacta y completa, y para proporcionar

confianza en las conclusiones a las que se arriben.

Auditoria de la Dirección

Teniendo en cuenta todas estas pautas, vamos a

centrarnos en la Auditoria de la Dirección de

Informática o Sistemas

Alcance de la auditoria

Organización y calificación de

la dirección informática.

Plan estratégico en sistema de

información.

Análisis de puestos.

Planes y procedimientos.

Normativas.

Objetivo de la auditoria

Realizar un informe con el objetivo de verificar la adecuación de

medidas de aplicación a las amenazas definidas, así como el

cumplimiento de requisitos exigidos.

Resultados:

se obtendrá:

Informe de auditoria detectando riesgos y deficiencias en el

manejo de la dirección informática.

Plan de recomendaciones a aplicar en función de una

normativa a cumplir.

Dirección de Informática

Los departamentos informáticos están integrados en organizaciones

mayores y que, por tanto son destinatarios de un sin fin de estímulos de

las mismas, que duda cabe de que, dado el ámbito tecnológico tan

particular de la informática, la principal influencia que dichos departamentos

reciben viene inducida desde la propia dirección de informática.

Las enormes sumas que las empresas dedican a las tecnologías de

información en un crecimiento que no se vislumbra el final y la absoluta

dependencia de las mismas al uso correcto de dicha tecnología hacen

muy necesaria una evaluación independiente de la función que la

gestiona. La dirección informática no debe quedar fuera: es una pieza

clave del engranaje.

Dirección de Informática

Se podría decir que algunas de las actividades básicas de todo

proceso de dirección son:

Planificar.

Organizar.

Coordinar

Controlar

Planificar

Planificar es tratar de prever la utilización de las TI’s en la

empresa. Esta es una etapa muy importante en el desarrollo de una

buena Auditoria, ya que nos va a permitir obtener una buena

organización y poder seguir un hilo conductor de los procesos

y áreas de la empresa evitando que podamos desviarnos de

nuestros objetivos.

Planificar

Existen varios tipos de planes informáticos, siendo el principal el Plan

Estratégico de Sistemas de Información; de este plan se derivan

otros, tales como:

Plan Operativo Anual,

Plan de Dirección Tecnológica,

Plan de Arquitectura de la Información y

Plan Recuperación de desastres.

Planificar

El Plan Estratégico de Sistemas de Información es el marco

básico de actuación de los SI’s en la empresa, por lo que debe

asegurarse el alineamiento de los mismos con los objetivos de la

empresa. Existen varias metodologías de realización de planes, y el

auditor debe evaluar si dichas metodologías se están utilizando y

son de utilidad para la empresa.

Planificar

Otros aspectos a evaluar son:

Si durante el proceso de planificación se toma en cuenta el plan estratégico de la

empresa, se establecen mecanismos de sincronización entre sus grandes hitos y los

proyectos informáticos asociados y se tiene en cuenta aspectos de cambios

organizacionales, entorno legislativo, evolución tecnológica, organización informática,

recursos, etc.

Si se presta la adecuada consideración a las nuevas TI’s, siempre desde el punto

de vista de su contribución a los fines de la empresa y no como experimentación

tecnológica.

Si las tareas presentes en el Plan tienen la correspondiente y adecuada

asignación de recursos para realizarlas, y si los plazos para realizar dichas tareas

son realistas en función de la situación actual de la empresa, de la organización

informática, del estado de la TI, etc.

El Plan operativo Anual se establece al inicio de cada ejercicio y debe estar alineado

con el plan estratégico, y debe señalar los SI a desarrollar, los cambios tecnológicos

previstos, los recursos y plazos necesarios, etc. El auditor deberá evaluar la existencia

del plan y su nivel de calidad, así como su alineamiento con el Plan Estratégico, su

grado de atención a las necesidades del usuario, si prevé los recursos necesarios para

realizar el plan, si los plazos descritos son realistas, etc.

Planificar

Plan estratégico del sistema de información.

Debe asegurar el alineamiento de los mismos con los objetivos de la

empresa.

Desgraciadamente la transformación de los objetivos de la empresa en

objetivos informáticos no es siempre una tarea fácil.

Estos planes no son responsabilidad exclusiva de la dirección de

informática, pero debe ser el permanente impulsor de una planificación de

sistemas de información adecuada y a tiempo.

Planificar

Plan estratégico del sistema de información…

Aunque se suele definir la vigencia de un plan estratégico de 3 a 5

años, tal plazo es muy dependiente del entorno en el que se mueve la

empresa. Cada empresa tiene su equilibrio natural y el auditor deberá

evaluar si los plazos en uso en su empresa son los adecuados.

Debe existir un proceso, con participación activa de los usuarios, que

regularmente elabore planes estratégico de sistemas de información a largo

plazo y el auditor deberá evaluar su adecuación.

Planificar

Guía de auditoria.

El auditor deberá examinar el proceso de planificación de sistemas de

información y evaluar si se cumple los objetivos.

Deberá evaluar si durante el proceso de planificación se presta

adecuada atención al plan estratégico de la empresa y se presta

adecuada consideración a nuevas TI.

Las tareas y actividades presentes en el plan tienen la correspondiente y

adecuada asignación de recursos para poder llevarlas a cabo así mismo si

tiene plazo de consecución realista.

Planificar

Acciones a realizar:

Lectura de actas de sesiones del comité de informática y dedicadas a la

planificación estratégica.

Identificación y lectura de los documentos intermedios preescritos por la

metodología de planificación.

Lectura y comprensión detallada del plan e identificación de las

consideraciones incluidas en el mismo.

Realización de entrevista al director de informática y otros miembros

del comité de informática participantes en el proceso de elaboración de

plan estratégico así como a los usuarios

Identificación y comprensión de los mecanismos existentes de

seguimiento y actualización del plan y de su relación con la evolución de la

empresa .

Otros planes relacionados.

Plan operativo anual.

Se establece al comienzo de cada ejercicio y es el que marca las

pautas a seguir durante el mismo.

Entre otros aspectos, debe señalar los SI a desarrollar, los cambios

tecnológicos previstos, los recursos y los plazos necesarios, etc.

El auditor deberá evaluar la existencia del plan y su nivel de la calidad.

Deberá estudiar su alineamiento con el plan estratégico, grado de

atención a las necesidades de los usuarios, sus previsiones de los

recursos necesarios para llevar acabo el plan, etc.

Deberá analizar si los plazos descritos son realistas, teniendo en cuenta

las experiencias anteriores en la empresa.

Otros planes relacionados.

Plan de recuperación ante desastres.

Una instalación informática puede verse afectada por desastres de

variada naturaleza, que tengan como consecuencia inmediata la

indisponibilidad de un servicio informático adecuado.

La dirección debe prever esta posibilidad y, por tanto, planificar para

hacerle frente.

Organizar y Coordinar

El proceso de organizar sirve para estructurar los recursos,

los flujos de información y los controles que permitan alcanzar los

objetivos marcados durante la planificación.

El auditor debe verificar diversos puntos correspondientes a

organización y control, entre los cuales se encuentran los

siguientes:


Comité de Informática

El comité de informática es el primer lugar de encuentro dentro de la

empresa de los informáticos y sus usuarios: es el lugar en el que se

debate los grandes asuntos de la informática que afectan a toda la

empresa y permiten a los usuarios conocer las necesidades del

conjunto de la organización y participar en la fijación de prioridades.

Si bien estrictamente el nombramiento, la fijación de funciones, etc. del

comité de informática no son responsabilidades directas de la dirección

de informática, sino de la dirección general, la dirección de informática

se ha de convertir en el principal impulsor de la existencia de dicho

comité.


Se ha escrito mucho sobre las funciones que debe realizar un comité de

informática y parece existir un cierto consenso en los siguientes aspectos:

Aprobación del plan estratégico de SI.

Aprobación de las grandes inversiones en TI.

Fijación de prioridades entre los grandes proyectos informáticos.

Vehículo de discusión entre la informática y sus usuarios.

Vigila y realiza el seguimiento de la actividad del departamento de

informática


Guía de auditoria

El auditor deberá asegurar que el Comité de Informática existe y cumple su

papel adecuadamente. Para ello, deberá conocer, en primer lugar, las funciones encomendadas al

Comité. Entre las acciones a realizar tenemos:

Lectura de la normativa interna, si la hubiera, para conocer las funciones que

debería cumplir el Comité de Informática.

Entrevistas a miembros destacados del Comité con el fin de conocer las

funciones que en la práctica realiza dicho Comité.

Entrevistas a los representantes de los usuarios, miembros del Comité, para

conocer si entienden y están de acuerdo con su papel en el mismo.

Una vez establecida la existencia del Comité de Informática, habrá que

evaluar la adecuación de las funciones que realiza.


Posición del Departamento de Informática en la empresa.

El Departamento debería estar suficientemente alto en la jerarquía y contar

con masa critica suficiente para disponer de autoridad e independencia

frente a los departamentos usuarios.

Hoy en día, la informática da soporte a un conjunto mucho mayor de

áreas empresariales y, por ello, cada vez es más habitual encontrar a

departamentos de informática dependiendo directamente de Dirección General.

Incluso en las grandes organizaciones, el Director de Informática es

miembro de derecho del Comité de Dirección u órgano semejante


Guía de auditoria

El auditor deberá revisar el emplazamiento organizativo del

Departamento de Informática y evaluar su independencia frente a

departamentos usuarios.

Para este proceso, será muy útil realizar entrevistas con el Director de

Informática y directores de algunos departamentos usuarios para

conocer su percepción sobre el grado de independencia y atención del

Departamento de Informática.


Descripción de funciones y responsabilidades del Departamento de

Informática. Segregación de funciones.

Es necesario que las grandes unidades organizativas dentro del

Departamento de informática tengan sus funciones descritas y sus

responsabilidades claramente delimitadas y documentadas.

Es necesario que este conocimiento se extienda a todo el personal

perteneciente a Informática; todos ellos deben conocer sus funciones y

responsabilidades en relación con los sistemas de información. Y todo

ello es una labor que compete, en gran medida, a la Dirección de

Informática.


Aseguramiento de la Calidad

La calidad de los servicios ofrecidos por el Departamento de Informática

debe estar asegurada mediante el establecimiento de una función

organizativa de Aseguramiento de la Calidad.

Es muy importante que esta función, de relativa nueva aparición en el

mundo de las organizaciones informáticas, tenga el total respaldo de la

Dirección y sea percibido así por el resto del Departamento.


Guía de auditoria

El auditor deberá comprobar que las descripciones están documentadas y

son actuales y que las unidades organizativas informáticas las comprenden

y desarrollan su labor de acuerdo a las mismas. Entre las tareas que el

auditor podrá realizar. figuran:

Examen del organigrama del Departamento de Informática e identificación de las

grandes unidades organizativas.

Revisión de la documentación existente para conocer la descripción de las

funciones y responsabilidades.


Guía de auditoria

Realización de entrevistas a los directores de cada una de las grandes unidades

organizativas para determinar su conocimiento de las responsabilidades de su

unidad y que éstas responden a las descripciones existentes en la

documentación correspondiente.

Examen de las descripciones de las funciones para evaluar si existe adecuada

segregación de funciones, incluyendo la separación entre desarrollo de sistemas

de información, producción y departamentos usuarios. Igualmente, será

menester evaluar la independencia de la función de seguridad.

Observación de las actividades del personal del Departamento para analizar, en

la práctica, las funciones realizadas, la segregación entre las mismas y el grado

de cumplimiento con la documentación analizada.

Organizar y Coordinar Estándares del funcionamiento y procedimientos.

Descripción dé los puestos de trabajo.

Deben existir estándares de funcionamiento y rendimiento que gobiernen la

actividad del Departamento de Informática por un lado y sus relaciones con

los departamentos usuarios por otro.

Dichos estándares y procedimientos deberían estar documentados.

actualizados y ser comunicados adecuadamente a todos los departamentos

afectados.

Por otro lado deben existir documentadas descripciones de los puestos de

trabajo dentro de Informática delimitando claramente la autoridad y la

responsabilidad en cada caso.


Guía de auditoria

El auditor deberá evaluar si existen estándares de funcionamiento

procedimientos y descripciones de puestos de trabajo, adecuados y

actualizados. Entre las acciones a realizar, se pueden citar:

Evaluación del proceso por el que los estándares, procedimientos y puestos de

trabajo son desarrollados, aprobados, distribuidos y actualizados.

Revisión de los estándares y procedimientos existentes.

Revisión de las descripciones de los puestos de trabajo para evaluar si reflejan

las actividades realizadas en la práctica.


Gestión de Recursos Humanos: Selección, Evaluación del

Desempeño, Formación, Promoción, Finalización.

La gestión de los recursos humanos es uno de los elementos críticos en la estructura

general informática.

La calidad de los recursos humanos influye directamente en localidad de los

sistemas información producidos, mantenidos y operados por el departamento de

informática.


Guía de auditoria

Entre otros el auditor deberá evaluar que:

La selección de personal se basa en criterios objetivos.

El rendimiento de cada empleado se evalúa regularmente en base a estándares.

Existen procesos para determinar la necesidades de formación de empleados en base a su

experiencia.

Existen procesos para la promoción del personal que tienen en cuenta su desempeño

profesional.

Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalización

de los contratos laborales no afectan a los controles internos y a la seguridad informática

Además el auditor deberá evaluar que todos los aspectos anteriores están en línea

con las políticas y procedimientos de la empresa.


Entre las acciones realizadas se pueden citar:

Conocimiento y evaluación de los procesos utilizados para cubrir vacantes

en el Departamento de Informática.

Análisis de las cifras de rotación de personal, niveles de absentismo laboral

y estadísticas de proyectos terminados fuera de presupuesto y de plazo.

Realización de entrevistas a personal del Departamento.

Revisión del calendario de cursos, descripciones de los mismos, métodos y

técnicas de enseñanza.

Revisión de los procedimientos para la finalización de contratos.


Comunicación

Es necesario que exista una comunicación efectiva y eficiente entre la

Dirección de Informática y el resto del personal del Departamento.

Entre los aspectos que es importante comunicar se encuentran: actitud

positiva hacia los controles, integridad, ética, cumplimiento de la normativa

interna entre otras, la de seguridad informática compromiso con la calidad,

etc.


Guía de auditoria

El auditor deberá evaluar las características de la comunicación entre la

Dirección y el personal de Informática.

Para ello se podrá servir de tareas formales como las descritas hasta ahora

y de otras, por ejemplo, a través de entrevistas informales con el personal

del Departamento.


Gestión económica

Este apartado de las responsabilidades de la Dirección de Informática tiene varias

facetas: presupuestación, adquisición de bienes y servicios y medida y reparto de

costes.

Presupuestación

Como todo departamento de la empresa, el de Informática debe tener un

presupuesto económico, normalmente en base anual.

Los criterios sobre cuáles deben ser los componentes del mismo varían

grandemente.

Sea cual sea la política seguida en la empresa, el Departamento de Informática debe

seguirla para elaborar su presupuesto anual.


Guía de auditoria

El auditor deberá constatar la existencia de un presupuesto económico de un

proceso para elaborarlo -que incluya consideraciones de los usuarios- y aprobarlo, y

que dicho proceso está en línea con las políticas y procedimientos de la empresa y

con los planes estratégico y operativo del propio Departamento.


Adquisición de bienes y servicios

Los procedimientos que el Departamento de Informática siga para adquirir los bienes

y servicios descritos en su plan operativo anual y/o que se demuestren necesarios a

lo largo del ejercicio han de estar documentados y alineados con los procedimientos

de compras del resto de la empresa. Aquí, las variedades infinitas, con lo que es

imposible dar reglas fijas.

Guía de auditoria

Una auditoria de esta área no debe diferenciarse de una auditoria tradicional del

proceso de compras de cualquier otra área de la empresa, con lo que el auditor

deberá seguir básicamente las directrices y programas de trabajo de auditoria

elaborados para este proceso.

Organizar y Coordinar Medida y reparto de costes

La dirección de informática debe en todo momento gestionar los costes asociados

con la utilización de los recursos humanos y tecnológicos. Y ello, obviamente, exige

medirlos.

Guía de auditoria

El auditor deberá evaluar la conveniencia de que exista o no un sistema de reparto

de costes informáticos y de que este sea justo, incluya los conceptos adecuados y

de que el precio de transferencia aplicada este en línea o por debajo del mercado.

Entre las acciones a llevarse acabo, se puede mencionar:

Realización de entrevistas a la dirección de los departamentos usuarios.

Análisis de los componentes y criterios con los que está calculado el precio de

transferencia.

Conocimiento de los diversos sistemas existentes en el departamento.


SEGUROS

La dirección de informática debe tomar las medidas necesarias con el fin de tener la

suficiente cobertura para los sistemas informáticos.

Estas coberturas amparan riesgos tales como la posible perdida de negocio, los

costes asociados al hecho de tener que ofrecer servicio informático desde un lugar

alternativo por no estar disponible en sitio primario, los costos asociados a la

regeneración de datos por perdida o inutilización de los datos originales, etc.

Guía de auditoria

El auditor deberá estudiar las pólizas de seguros y evaluar la cobertura existente,

analizando si la empresa está suficientemente cubierta o existen huecos en dicha

cobertura. Por ejemplo, algunas pólizas sólo cubren el reemplazo del equipo, pero no

los otros costes mencionados, etc.

CONTROLAR

CONTROL Y SEGUIMIENTO

Un aspecto común a todo lo que se ha dicho hasta el momento es la

obligación de la Dirección de controlar y efectuar un seguimiento

permanente de la distinta actividad del Departamento.

Se ha de vigilar el desarrollo de los planes estratégico y operativo y de los

proyectos que los desarrollan, la ejecución del presupuesto, etc.

En esta labor, es muy conveniente que existan estándares de rendimiento

con los que comparar las diversas tareas.

CONTROLAR

Guía de auditoria

Entre las acciones a realizar, se pueden mencionar:

Conocimiento y análisis de los procesos existentes en el Departamento para

llevar a cabo el seguimiento y control, Evaluación de la periodicidad e los

mismos. Analizar igualmente los procesos de represupuestación.

Revisión de planes, proyectos, presupuestos de años anteriores y del actual

para comprobar que son estudiados, que se analizan las desviaciones y que se

toman las medidas correctoras necesarias.

CONTROLAR

Cumplimiento de la normativa legal

La Dirección de Informática debe controlar que la realización de sus

actividades se lleva a cabo dentro del respeto a la normativa legal aplicable.

Asimismo, deben existir procedimientos para vigilar y determinar

permanentemente la legislación aplicable.

Guía de auditoria

El auditor deberá evaluar si la mencionada normativa aplicable se cumple.

Para ello, deberá, en primer lugar, entrevistarse con la Asesoría Jurídica de la

empresa la Dirección de Recursos Humanos y la Dirección de Informática con el fin

de conocer dicha normativa.

A continuación, evaluará el cumplimiento de las normas, en particular en los

aspectos más críticos.

CONCLUSIONES

La contribución de la dirección de informática realiza un control de las

operaciones informáticas dentro de una empresa y esto viene a ser una

parte esencial de la misma.

La calidad de los controles impulsados e inspirados por la dirección de

informática tiene gran influencia sobre el probable comportamiento de los

SI.

Para poder tener una buena dirección de auditoria informática es necesario

tener una buena planificación, organización, coordinación y un debido

control de las diversas actividades que realiza la organización.

Documents

Tema 5